La gestion des habilitations et celle du déploiement des logiciels sur le poste de travail sont historiquement séparées. La filière sécurité pilote la gestion des habilitations, la préoccupation première étant de garantir la sécurité des SI de l’entreprise. Les équipes de gestion du poste de travail assure la gestion des déploiements de logiciels, plutôt dans une optique de maîtrise des coûts de licence et de maintenance du poste de travail.

Aider nos clients à rapprocher les deux démarches de gestion des habilitations et du déploiement des logiciels sur les postes de travail est un exercice que nous pouvons traiter dans le cadre de nos missions car ces deux sujets couvrent des enjeux communs :
• attribuer dans les meilleurs délais aux utilisateurs les habilitations et les logiciels PC nécessaires à l’exercice de leur fonction ;
• rationaliser les charges de déploiement des habilitations et des logiciels ;
• maîtriser les coûts de licence liés à l’installation de logiciel ou nombre d’utilisateurs d’une application.

Pour répondre aux enjeux de la gestion des habilitations, les organisations ayant un grand nombre d’utilisateurs ont pour la plupart mis en œuvre des programmes IAM basés notamment sur :
• le modèle RBAC (Role Based Access Control) visant à définir et attribuer des profils métiers regroupant l’ensemble des habilitations nécessaires à l’exercice d’une fonction ;
• des workflows et interfaces de détection des mouvements des utilisateurs permettant de mettre à jour les habilitations attribuées ;
• des procédures de contrôle régulier et de re-certification des habilitations attribuées.
Il est possible de capitaliser sur cet existant en adaptant et mutualisant ces 3 principes pour la gestion du déploiement des logiciels sur les postes de travail.

1er Principe - Modèle RBAD (Role Based Application Deployement)
Pour assurer la cohérence et mutualiser les dispositifs de maintenance des profils habilitation et profils logiciel

Le modèle RBAD consiste à définir des profils de logiciels nécessaires à l’exercice d’une fonction. Comme pour les habilitations, les profils peuvent être identifiés par :
– des interviews des directions utilisatrices pour définir quelles sont les applications nécessaires à l’exercice d’une fonction (démarche Top/Down). L’implication des directions utilisatrices dans la définition des profils permet de faciliter leur adhésion au principe des profils de logiciels PC. Elle peut être plus longue à déployer que la démarche Bottom/Up mais est facilitée par les travaux réalisés dans le cadre d’un plan de continuité d’activité ou de la mise en place des processus ITIL de gestion des niveaux de services, ces travaux nécessitant également l’identification des applications utilisées par les directions utilisatrices. Ils n’ont cependant pas forcément besoin du même niveau de granularité que celui nécessaire pour gérer les déploiements de logiciels PC.
– l’analyse des logiciels déployés sur les postes de travail et l’identification des groupes d’applications installés sur l’ensemble des postes utilisateurs occupant une même fonction (démarche Bottum/Up). Cette démarche est similaire à celle du role mining pour la définition des profils métiers. Il est d’ailleurs envisageable d’utiliser les outils de rôle mining pour identifier les profils de logiciels. La démarche Bottom/Up permet d’initier rapidement le catalogue des profils d’application, mais doit être complétée rapidement par une démarche Top/Down afin d’impliquer les directions utilisatrices dans le maintien des profils.

La validation et le maintien des profils logiciels nécessitent d’identifier des propriétaires de ces profils logiciels. On mutualisera avantageusement cette responsabilité avec celle de propriétaire des profils habilitation ou avec celle de correspondant PCA, ces trois missions nécessitant une connaissance fine des ressources informatiques nécessaires à l’activité des utilisateurs.

Le catalogue des profils logiciels doit être maintenu comme celui des profils habilitation afin de prendre en compte l’évolution du patrimoine applicatif : nouveau logiciel, évolution, dé-commissionnement. Les procédures d’identification de ces évolutions et d’analyse de leurs impacts sur les profils habilitations peuvent être adaptées pour analyser également l’impact de ces évolutions sur les profils logiciels, ceci afin de limiter la charge de maintien à jour de ces catalogues et d’assurer la cohérence entre profils habilitation et profil logiciel.

Il faudra, cependant, prendre en compte le fait qu’il n’y ait pas de correspondance systématique un pour un entre profil habilitation et profil logiciel car :
– toutes les applications ne nécessitent pas l’installation d’un logiciel sur le poste de travail ;
– tous les logiciels PC ne nécessitent pas d’habilitation ;
– un même client logiciel peut être utilisé par des utilisateurs ayant des habilitations différentes dans l’application correspondante.

2nd Principe - La gestion des identités et des demandes
Pour gérer de façon unifiée et automatisée les demandes d’habilitation et de logiciels

Comme pour la gestion des habilitations, il est important d’identifier les mouvements des utilisateurs afin d’attribuer de façon réactive les seuls logiciels nécessaires, et maîtriser ainsi les coûts de licence et les opérations réalisables par l’utilisateur :
– Arrivée : être capable de fournir un poste de travail opérationnel dès l’arrivée ;
– Mutation : retirer les logiciels qui ne sont plus nécessaires et attribuer les nouveaux logiciels ;
– Départ : désinstaller les logiciels du poste de travail avant réattribution du poste de travail à un nouvel utilisateur.

Il est ainsi possible de réutiliser les workflows de gestion des demandes d’habilitations interfacés avec les référentiels des identités pour gérer les demandes de déploiement de logiciels. Ceci présente un intérêt certain pour :
– les utilisateurs avec un portail de demande unique pour les demandes d’habilitations et les logiciels ;
– les managers pour valider simultanément des demandes, souvent liées, de droits et de logiciels.
Les workflows de gestion des demandes d’habilitations permettent, grâce à des connecteurs, l’automatisation du provisioning des habilitations dans les annuaires techniques. De plus, il est possible d’interfacer ces workflows avec les outils de déploiement des logiciels sur les postes afin d’automatiser le provisioning des logiciels.

3ème Principe - Le contrôle et la re-certification des logiciels déployés
Pour maîtriser les coûts de licence et limiter les charges de contrôle pour les managers

La gestion des licences est une des grandes problématiques de la gestion des logiciels PC. Les processus et les outils de revues et de re-certification des habilitations par les managers peuvent également être utilisés pour contrôler et re-certifier les logiciels déployés et ainsi désinstaller les logiciels inutilisés et libérer les licences associées.
Coupler la re-certification des habilitations et des logiciels déployés permet là aussi de limiter la charge induite pour les managers.

L’importance d’un accompagnement transverse pour des processus efficients

La démarche de mutualisation proposée permet de :
– Simplifier la vie des utilisateurs en unifiant les portails de demande d’habilitation et de logiciels ;
– Réduire la charge des managers pour valider et re-certifier les habilitations et les logiciels, en unifiant
• les workflows de validation des demandes,
• les solutions de re-certification des habilitations et des logiciels ;
– Limiter la charge de maintien à jour de ces catalogues et d’assurer la cohérence entre profils habilitation et profil logiciel en mutualisant les fonctions de Correspondants métier : habilitation et logiciel ;
– Automatiser le déploiement des logiciels sur le poste de travail en interfaçant les workflows de demande avec les outils de télédistribution des logiciels sur les postes de travail.

Une des conditions de réussite de cette mutualisation est la mise en place d’une véritable conduite du changement auprès de tous les acteurs des processus de gestion des logiciels et des habilitations, en particulier : utilisateurs et managers, maîtrise d’ouvrage, équipe d’intégration et d’exploitation, gestionnaires des habilitations, service desk.

L’accompagnement pour traiter ce sujet doit être global et transverse. De par notre double compétence fonctionnelle et technique notre cabinet propose un dispositif complet sur ce sujet permettant :
– d’auditer les infrastructures techniques et l’organisation en place afin d’identifier les opportunités d’adaptation et de mutualisation pour gérer les habilitations et le déploiement des logiciels ;
– d’apporter une démarche structurée et éprouvée de construction de profils métier habilitation et logiciel ;
– d’apporter une expertise technique reconnue pour l’intégration et l’adaptation de l’infrastructure technique.